[Eisfair_dev] (E1) kein Login bei Apache und .htaccess nach updates

Alexander Dahl lespocky at web.de
Sa Jan 26 11:05:01 CET 2013 

Moin, 

Benjamin Heide <benjamin.heide at freenet.de> schrieb:
>> Apache macht normalerweise base oder digest, dass funktioniert hier ganz
>> normal.
>> 
> in der .htaccess ?

In der .htaccess gibst Du an, ob Du HTTP Basic Auth oder HTTP Digest
Auth machen willst. Beides sind unterschiedliche Methoden, Digest ist
der Vorzug zu geben, weil bei Basic das Passwort unverschlüsselt
verschickt wird.

Das Tool htpasswd erstellt Einträge für HTTP Basic und dort kann man den
Hashing-Algorithmus angeben, mit dem das Passwort dann auf dem Server
abgelegt wird:

    % htpasswd --help
    Usage:
            htpasswd [-cmdpsD] passwordfile username
            htpasswd -b[cmdpsD] passwordfile username password

            htpasswd -n[mdps] username
            htpasswd -nb[mdps] username password
    -c  Create a new file.
    -n  Don't update file; display results on stdout.
    -m  Force MD5 encryption of the password.
    -d  Force CRYPT encryption of the password (default).
    -p  Do not encrypt the password (plaintext).
    -s  Force SHA encryption of the password.
    -b  Use the password from the command line rather than prompting for it.
    -D  Delete the specified user.
    On Windows, NetWare and TPF systems the '-m' flag is used by default.
    On all other systems, the '-p' flag will probably not work.

Das ändert nichts daran, dass bei basic das Passwort im Klartext über
die Leitung wandert. Bei digest ist der Hashing Algorithmus festgelegt,
aber das funktioniert auch bisschen anderes. Die Einträge für die
serverseitige Datei erzeugt man wie Holger bereits sagte mit dem Tool
htdigest.

>>> Eben wollte ich die User / Pass in der .htpasswrd neu anlegen und ...
>> 
>> Keine Ahnung wie wird die Datei erzeugt.
>> 
> ich erstelle die Passworte hier mit:
>
> http://www.homepage-kosten.de/htaccess.php
>
> (Dank an den Ersteller der Seite, sicher ist sicher)

Du überträgst hier Passwörter zu einem Webdienst? Unverschlüsselt? Mit
Hinweisen darauf, wo sie eingesetzt werden? Was macht Dich so sicher,
dass hinter der Seite keine dicke Datenbank arbeitet, die alle Eingaben
speichert? 

Passwörter bzw. die Hashes dazu generiert man IMMER lokal bei sich mit
vertrauenswürdigen Tools, niemals über irgendwelche Webseiten!

Gruß
Alex

-- 
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: 02C8 A590 7FE5 CA5F 3601  D1D5 8FBA 7744 CC87 10D0

Mehr Informationen über die Mailingliste Eisfair_dev